Is there a known rpc.statd buffer overflow?
Hi list,
I received the following (see below) in an email from logcheck on my
home desktop running Sarge. Looks like an attempt to cause a buffer
overflow in rpc.statd. System logs don't include anything else that
looks suspicious.
This system was up-to-date with security updates as of yesterday. I had
the portmap, nfs-common, and nfs-kernel-server packages installed in
order to share files from my desktop to my laptop. I thought I had the
system configured to deny access except to the local net (192.168/16),
but unfortunately that wasn't the case due to an error in my
/etc/hosts.deny (now fixed).
I think I'm OK since a statically compiled (on another Sarge machine)
chkrootkit doesn't turn up anything, and the md5sums of important system
binaries and libraries match my other Sarge workstation. But is there a
known buffer overflow in statd that a DSA should be issued for?
-------- Original Message --------
Subject: wisteria 2005-11-09 01:02 System Events
Date: Wed, 09 Nov 2005 01:02:05 -0500
From: logcheck@Princeton.EDU
To: root@kmccarty.student.Princeton.EDU
This email is sent by logcheck. If you wish to no-longer receive it,
you can either deinstall the logcheck package or modify its
configuration file (/etc/logcheck/logcheck.conf).
System Events
=-=-=-=-=-=-=
Nov 9 00:36:33 wisteria rpc.statd[1450]: gethostbyname error for
^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn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
\220\220\220\220\220\220\220\220\220\220\220
--
Kevin B. McCarty <kmccarty@princeton.edu> Physics Department
WWW: http://www.princeton.edu/~kmccarty/ Princeton University
GPG: public key ID 4F83C751 Princeton, NJ 08544
Reply to: